La seguridad multinivel (en inglés seguridad multinivel , abreviado MLS) es un principio de TI para categorizar las entidades de un sistema en base a niveles de empoderamiento y clasificación.. Permiten que el acceso de un sujeto (usuario, proceso, etc.) a un objeto (archivo, memoria, interfaz hardware, etc.) ya no esté sujeto únicamente a la identidad del sujeto, sino sobre todo al nivel de autorización del sujeto en relación al nivel de clasificación del objeto según la naturaleza de la acción realizada. Esto permite que en una misma plataforma convivan diferentes entidades de clasificación y autorización garantizando el estricto cumplimiento de la política de confidencialidad.
Así, por ejemplo, y entre otras cosas, este tipo de sistema permite el acceso simultáneo de diferentes usuarios a datos y herramientas de diferentes niveles de clasificación, al tiempo que garantiza que los usuarios solo podrán ver y acceder a los datos y herramientas para los que están autorizados. .
En los sistemas de información convencionales, el derecho de un sujeto a actuar sobre un objeto se define siguiendo los principios de control de acceso discrecional (DAC - Discretionary Access Control ) y se relaciona principalmente con la identidad del sujeto. Por ejemplo, si un usuario tiene un archivo, puede leerlo o escribirlo como desee. Del mismo modo, es libre de hacerlo accesible a otros usuarios de una forma u otra, ya sea modificando los derechos de acceso del archivo o mediante transferencia por cualquier medio (envío por mensajería, compartiendo copia de seguridad, etc.).
Si los datos en cuestión son confidenciales, es responsabilidad del usuario tratarlos como tales. El sistema no tiene forma de administrar el nivel de sensibilidad de las entidades que aloja. Esto ilustra el problema que surge en entornos donde se requiere la gestión de la confidencialidad.
Existe otro principio de seguridad, el Control de acceso obligatorio (MAC - Mandatory Access Control ). En los sistemas de información, este principio se refleja en criterios de autorización externos a la identidad del sujeto. Por tanto, consideramos en primer lugar los niveles jerárquicos de sensibilidad que se asignarán a cada entidad del sistema. Indican un nivel de autorización para un sujeto y una clasificación para un objeto.
Por ejemplo, SIN CLASIFICAR (NC) <TRANSMISIÓN RESTRINGIDA (DR) <CONFIDENCIAL (C) <SECRETO (S) <MUY SECRETO (TS). Consideraremos esta clasificación en los pocos ejemplos que siguen.
Luego, se definen las reglas que rigen su gestión. Estas reglas se toman principalmente de los modelos de Bell y Lapadula y de Biba . Algunas de las reglas principales que resultan de esto incluyen las siguientes:
Etiquetar el sistema de información es uno de los medios para implementar los niveles de sensibilidad que acabamos de mencionar. El principio es adjuntar una etiqueta a cada entidad del sistema (usuarios, proceso, memoria, interfaces, archivos, etc.) describiendo su nivel de sensibilidad. Durante cada interacción entre entidades del sistema, los principios presentados anteriormente se aplican de forma independiente y antes de cualquier control tradicional como los derivados de DAC.
Para ser detallado: del Libro Naranja ( Trusted Computer System Evaluation Criteria ) al CC LSPP.